Se debe configurar un cliente de OAuth y generar credenciales de OAuth como parte de la creación de la instancia de Looker (base de Google Cloud), aunque quieras usar un método de autenticación diferente para autenticar a tus usuarios en una instancia de Looker (base de Google Cloud).
Roles obligatorios
Para usar la consola de Google Cloud para crear y editar credenciales de OAuth, necesitas los siguientes permisos. Para ocultar la lista de permisos, contrae la sección Permisos necesarios.
Permisos obligatorios
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos. Para obtener más información sobre cómo conceder roles, consulta la página Administra el acceso a proyectos, carpetas y organizaciones de la documentación de Gestión de Identidades y Accesos (IAM).
Antes de crear una instancia de Looker (Google Cloud core)
Antes de crear una instancia de Looker (Google Cloud core), completa los pasos que se describen en estas secciones:
- Generar el ID de cliente y el secreto de cliente de OAuth
- Configurar la pantalla de consentimiento del usuario, los ámbitos y los usuarios de prueba
Generar el ID de cliente y el secreto de cliente de OAuth
Primero, crea un cliente de OAuth y genera el ID de cliente y el secreto de cliente correspondientes. Estos valores son obligatorios durante la creación de la instancia de Looker (Google Cloud core).
Puedes configurar el cliente de OAuth en cualquier proyecto que quieras. Google Cloud No tiene por qué ser el mismo proyecto que la instancia de Looker (Google Cloud Core). Sin embargo, la API Looker (Google Cloud core) debe estar habilitada en este proyecto.
Para crear el cliente y sus credenciales, sigue estos pasos:
- Ve al proyecto en el que quieras crear el cliente de OAuth.
- Vaya a APIs y servicios > Credenciales.
- En la página Credenciales, haz clic en Crear credenciales.
- En el menú desplegable, selecciona ID de cliente de OAuth.
- En el menú desplegable Tipo de aplicación, selecciona Aplicación web.
- En el campo Nombre, introduce el nombre del cliente de OAuth.
- En este punto, no es necesario que añadas URIs en las secciones Orígenes de JavaScript autorizados o URIs de redirección autorizados.
- Haz clic en Crear.
Después de hacer clic en Crear, aparece la ventana Se ha creado el cliente de OAuth. En esta ventana se muestran el ID de cliente y el secreto de cliente creados para tu cliente de OAuth. Estos valores serán necesarios cuando crees la instancia de Looker (Google Cloud core).
También puedes hacer clic en Descargar JSON para descargar la información de las credenciales en un archivo JSON. Para cerrar la ventana, haz clic en Aceptar.
Configurar la pantalla de consentimiento del usuario, los ámbitos y los usuarios de prueba
A continuación, puedes configurar la pantalla de consentimiento. La pantalla de consentimiento se muestra a un usuario de la instancia de Looker (Google Cloud core) en su primer inicio de sesión y en cualquier momento en el que su autorización venza o sea revocada por el usuario.
Sigue las instrucciones de la página de documentación Configurar la pantalla de consentimiento de OAuth y elegir los permisos. Mientras configuras la pantalla, completa los siguientes ajustes tal como se describe:
En la sección Branding (Marca), en Authorized domains (Dominios autorizados), el dominio debe coincidir con el de la instancia de Looker (Google Cloud core) que usa las credenciales de OAuth. Si vas a crear un dominio personalizado para tu instancia de Looker (Google Cloud core) y sabes cuál vas a asignarle, puedes introducirlo ahora. De lo contrario, puedes dejar este campo en blanco. Se rellenará automáticamente cuando añadas el URI de redirección autorizado después de crear la instancia de Looker (Google Cloud core).
En la sección Audiencia, en Tipo de usuario, seleccione una de las siguientes opciones:
- Interno: este ajuste está activado de forma predeterminada. Solo los usuarios de tu organización pueden acceder a la instancia una vez que se hayan añadido a través de IAM.
- Hacer externo: los usuarios con cualquier tipo de cuenta de Google pueden acceder a la instancia una vez que se hayan añadido a través de IAM.
Durante la creación de la instancia de Looker (Google Cloud Core)
Cuando crees la instancia de Looker (Google Cloud core), añade el ID de cliente y el secreto de cliente de OAuth en la sección Credenciales de la aplicación OAuth. No puedes crear una instancia sin credenciales de OAuth. Para encontrar el ID de cliente y el secreto de cliente de OAuth, ve al cliente de OAuth en la Google Cloud consola.
Después de crear una instancia de Looker (Google Cloud Core)
Sigue las instrucciones que se indican a continuación para completar la configuración. Cuando añadas un URI de redirección autorizado, se añadirá a tu pantalla de consentimiento de OAuth como dominio autorizado.
Añadir el URI de redirección autorizado al cliente de OAuth
Si aún no lo has hecho, sigue estos pasos para introducir la URL de la instancia de Looker (Google Cloud core) recién creada en el cliente de OAuth.
Una vez que hayas creado una instancia de Looker (Google Cloud core), busca y copia la URL de la instancia. Puedes encontrar la URL en la página Instancias.
En la Google Cloud consola, ve a APIs y servicios > Credenciales.
En el encabezado IDs de cliente de OAuth 2.0, haz clic en el nombre del cliente que has creado.
En la sección URIs de redirección autorizados, haz clic en Añadir URI.
Pega la URL de la instancia de Looker (Google Cloud Core) en el campo URIs. Añade
/oauth2callbackal final de la URL. Por ejemplo:https://uuid.looker.app/oauth2callback.Si vas a configurar la autorización de OAuth para BigQuery, también puedes añadir un segundo URI de redirección que apunte a la URL de la instancia de Looker (Google Cloud core) seguida de
/external_oauth/redirectal final de la URL. Por ejemplo:https://uuid.looker.app/external_oauth/redirect.Haz clic en Guardar.
La actualización puede tardar entre cinco minutos y unas horas en aplicarse.
Gestionar usuarios
Una vez que se haya configurado el cliente de OAuth y se haya creado la instancia de Looker (Google Cloud core), podrás elegir el método de autenticación de tu instancia.
Si utilizas OAuth como método de autenticación principal, sigue los pasos que se describen en la página de documentación Usar OAuth de Google para la autenticación de usuarios de Looker (Google Cloud core) para completar la configuración de OAuth para la autenticación de usuarios.
Una vez que hayas configurado tu método de autenticación, podrás añadir o quitar usuarios a través de tu proveedor de identidades y gestionarlos en Looker.
Editar el cliente de OAuth de una instancia de Looker (Google Cloud Core)
Si quieres, puedes editar o cambiar las credenciales de OAuth de tu instancia de Looker (Google Cloud core) siguiendo estos pasos:
- Configura el nuevo cliente o las credenciales.
- En la consola de Google Cloud , en la página Instancias, haz clic en el nombre de una instancia para abrir la página DETALLES.
- En la página DETALLES, haz clic en Editar.
- En la página Editar instancia de Looker (Google Cloud core), introduce los nuevos valores en los campos ID de cliente de OAuth y Secreto de cliente de OAuth.
- Haz clic en Guardar.
Siguientes pasos
- Crear una instancia de Looker (Google Cloud Core) con IP pública
- Crear una instancia de Looker (Google Cloud Core) con conexiones privadas (acceso a servicios privados)